MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[ludvik]

Mimochodem: pro zápis a spuštění scriptu stačí FTP. Čili možností, jak to tam dostat je docela dost.

[gmork]

Napisu na support. FTP a telnet nepouzivame = vypnute. SSH pouzivame pouze pres VPN ci na LAN. Na FW z Venku krome VPN (IPSec a OpenVPN) neni nic povoleno ...

Zaregistroval jsem se na toto forum, protoze za ty leta co MK pouzivame je z meho pohledu dost fatlani chyba a v posledni dobe bohuzel nebyla jedinna. tak me zajimalo, zda nekdo nemel podobny problem jako ja, protoze pokud to UPLNE obeslo / ignorovalo FW a je tam nejaka dira napr v kernelu, ktera umoznuje prevzeti API. Tak to je sila a dela z MK vylozene nebezpecnou vec .... Kdyz vezmu v potaz, ze uvnitr je VSE nesifrovane.

[ludvik]

Pouvažoval jsi nad tím, že to mohlo přijít právě z "bezpečného přístavu"? Nebo i nebezpečného přes MAC-telnet/winbox?

A též jsi pouvažoval nad tím, že nám ukážeš konfiguraci?

[Dalibor Toman]

To je sice hezke co pisete, ale proste ty dva porty api z venku dostupne nejsou a nebyly, presto se neco / nekdo dostal z te ip 45.47.X.X zalogoval na API a pustil tam ten dany skript. Tak to je a bylo v logu. Je to proste stejne holy fakt jako tu pisete Vy jak funguje FW.

A me jedinne co zajima, je to, zda se to nekomu dostalo pres FW jako me. A zda, kdyz to obeslo FW, tak zda VYPNUTI toho API ochrani ten ubohy mikrotik, ktery je momentalne deravy vic nez dost.

Tot vse.

ukaz CFG toho firewallu ...

[gmork]

Takto to bylo pred napadenim.

Kód: Vybrat vše


/ip firewall filter
add action=add-src-to-address-list address-list=Syn_Flooder \
    address-list-timeout=30m chain=input comment=\
    "Add Syn Flood IP to the list" connection-limit=30,32 protocol=tcp \
    tcp-flags=syn
add action=drop chain=input comment="Drop to syn flood list" \
    src-address-list=Syn_Flooder
add action=add-src-to-address-list address-list=Port_Scanner \
    address-list-timeout=1w chain=input comment="Port Scanner Detect" \
    protocol=tcp psd=21,3s,3,1
add action=drop chain=input comment="Drop to port scan list" \
    src-address-list=Port_Scanner
add action=add-src-to-address-list address-list=blocked address-list-timeout=\
    1h chain=input comment=DDoS connection-limit=100,32 protocol=tcp
add action=tarpit chain=input connection-limit=3,32 protocol=tcp \
    src-address-list=blocked
add action=jump chain=input comment="Jump for icmp input flow" jump-target=\
    ICMP protocol=icmp
add action=accept chain=ICMP comment="Echo request - Avoiding Ping Flood" \
    icmp-options=8:0 limit=1,5 protocol=icmp
add action=accept chain=ICMP comment="Echo reply" icmp-options=0:0 protocol=\
    icmp
add action=accept chain=ICMP comment="Time Exceeded" icmp-options=11:0 \
    protocol=icmp
add action=accept chain=ICMP comment="Destination unreachable" icmp-options=\
    3:0-1 protocol=icmp
add action=accept chain=ICMP comment=PMTUD icmp-options=3:4 protocol=icmp
add action=drop chain=ICMP comment="Drop to the other ICMPs" protocol=icmp
add action=jump chain=output comment="Jump for icmp output" jump-target=ICMP \
    protocol=icmp
add action=accept chain=input comment="Povoleni INPUT established, related" \
    connection-state=established,related
add action=accept chain=input comment="Allow IKEv2" in-interface=WAN \
    protocol=ipsec-esp
add action=accept chain=input dst-port=500 in-interface=WAN protocol=udp
add action=accept chain=input dst-port=4500 in-interface=WAN protocol=udp
add action=accept chain=input comment="Allow OpenVPN" dst-port=1195 \
    in-interface=WAN protocol=tcp
add action=drop chain=input comment="DROP Input LAN" in-interface=LAN \
    src-address-list=!localnet
add action=drop chain=input comment="DROP input" in-interface=WAN
add action=jump chain=forward comment="SYN Flood protect" connection-state=\
    new jump-target=SYN-Protect protocol=tcp tcp-flags=syn
add action=add-src-to-address-list address-list=spammers \
    address-list-timeout=3h chain=forward comment=\
    "Add Spammers to the list for 3 hours" connection-limit=30,32 dst-port=\
    25,587 limit=30/1m,0 protocol=tcp
add action=drop chain=forward comment="Avoid spammers action" dst-port=25,587 \
    protocol=tcp src-address-list=spammers
add action=accept chain=forward comment="Established, related FORWARD" \
    connection-state=established,related
add action=accept chain=forward comment="Posta forward WAN" dst-port=\
    25,587,465 out-interface=WAN protocol=tcp src-address=192.168.56.1
add action=drop chain=forward dst-port=25,587,465 out-interface=WAN protocol=\
    tcp src-address=192.168.56.0/24
add action=accept chain=forward comment=Localnet src-address=192.168.1.0/24
add action=accept chain=forward src-address=192.168.56.0/24
add action=accept chain=forward comment=VPN src-address=172.16.16.0/24
add action=drop chain=forward comment=Invalid connection-state=invalid
add action=drop chain=forward comment="DROP Forward" connection-nat-state=\
    !dstnat connection-state=new in-interface=WAN
add action=accept chain=SYN-Protect connection-state=new limit=400,5 \
    protocol=tcp tcp-flags=syn
add action=drop chain=SYN-Protect connection-state=new protocol=tcp \
    tcp-flags=syn

/ip service
set telnet address=192.168.56.0/24 disabled=yes
set ftp address=192.168.56.0/24 disabled=yes
set www address=192.168.56.0/24
set ssh address=192.168.56.0/24



Po napadeni a vycisteni jsem v /ip service zablokoval obe API a nastavil LAN rozsah na Winbox port ...

[ludvik]

neznáme obsah address-listů - např. localnet.

Proč si nepřiznáš, že máš díru v těch tunelech?

[gmork]

Diru v tunelech ? Myslis jako ,ze to udelal infikovany vpnkar ? Ze pres jeho stroj se pripojil nekdo na API ze singapurske verejne IP adresy ?
Nebo pres nekoho z localnetu ?

Kód: Vybrat vše

 0   localnet                                      192.168.56.0/24                                                    feb/11/2018 09:00:08
 1   localnet                                      192.168.1.0/24                                                     feb/11/2018 09:00:19
 2   localnet                                      172.16.16.0/24                                                     feb/11/2018 09:00:47


[Dalibor Toman]

Takto to bylo pred napadenim.

kdyz jsem vyhazel co senetyka inputu a eliminoval ty ddos-scanner address listy (ktere nic nepovoluji) tak mi zbylo:

Kód: Vybrat vše

/ip firewall filter
add action=accept chain=input comment="Povoleni INPUT established, related" \
    connection-state=established,related
add action=accept chain=input comment="Allow IKEv2" in-interface=WAN \
    protocol=ipsec-esp
add action=accept chain=input dst-port=500 in-interface=WAN protocol=udp
add action=accept chain=input dst-port=4500 in-interface=WAN protocol=udp
add action=accept chain=input comment="Allow OpenVPN" dst-port=1195 \
    in-interface=WAN protocol=tcp
add action=drop chain=input comment="DROP Input LAN" in-interface=LAN \
    src-address-list=!localnet
add action=drop chain=input comment="DROP input" in-interface=WAN


nevim sice co je LAN a WAN ale nejpodezrelejsi je mi ten radek s action=tarpit. Dela vubec to, co slibuje ze bude delat? Pokud tomu rozumim spravne, tak by mel sice potichu zahazovat packety ale udrzovat zaznam v connection tracking tabulce. A co kdyby je nezahodil? Co kdyz radek s established,related (ktery se uplatni driv) zpusobi, ze se ty packety nezahodi?

[gmork]

Trapit blokuje ty dane IP co jdou na seznam blocked. to je funkcni.

Trapit NENI pod established, related na INPUTu, naopak.

LAN = LAN interface z ip 192.168.56.252
WAN = WAN verejna IP od ISP

[gmork]

Snímek obrazovky 2018-06-22 v 13.54.12.png (55.61 KiB) Zobrazeno 4180 x

[hapi]

To je sice hezke co pisete, ale proste ty dva porty api z venku dostupne nejsou a nebyly, presto se neco / nekdo dostal z te ip 45.47.X.X zalogoval na API a pustil tam ten dany skript. Tak to je a bylo v logu. Je to proste stejne holy fakt jako tu pisete Vy jak funguje FW.

A me jedinne co zajima, je to, zda se to nekomu dostalo pres FW jako me.

Pokud to máš takhle krásně popsané včetně logu a seš si jistý že firewall máš napsaný dobře, tak je velikách chyba jestli jsi jim to nereportoval? V tom případě to je jen tlachání kterým se nic nevyřeší... Chce to email na support@mikrotik.com aby se ti k tomu vyjádřili.

tak máme taky kontaminaci. Hlavní router i přes input drop na wan straně a je nakaženej. Přístup má pouze 6 ip adres. Je teda pravda že jsme takhle silnej drop zapnuly asi před týdnem když tam byla od někoho hláška aby jsme upgradovaly, což jsme udělaly na aktuálně největší což byla 6.42.4, zapnuli input drop a dneska tam vidíme přepsaný identity a ve files dva soubory.

[basty]

Heslo menils?

[hapi]

ne ale proč bych měl když firewall zakazuje přihlásit se od jinud což jsme dneska testovaly a prostě se na router dostane člověk jenom z povolených ip ve firewallu. Žádnej tarpit, žádný pouze tcp nebo icmp, prostě total drop všeho kromě 6 IP adres.

[Invia]

Jestli ještě před tou hláškou nemohlo dojít k tomu napadení routeru, akorát malware začal fungovat až potom. Otázka je, nemůže náhodou ten malware povolit na input ještě další IP adresu aniž by se to zobrazilo ve winboxu?

[hapi]

to nikdo neví ale určitě ano. Jinde se nastavujou i jiný limity a ve firewallu nejsou vidět takže tam určitě nebude vše vidět.